tecnologie abilitanti il processo civile telematico · tecnologie abilitanti il ... formato xml e...
TRANSCRIPT
1
Tecnologie abilitanti il processo civile telematico
Monica Palmirani
2
Traccia � Identificazione digitale � Certificato su smart card di
autenticazione
� Documento digitale � Console per creare documenti in formato XML e PDF
� Valore legale e probatorio � Firma digitale
� Trasmissione legalmente valida di comunicazione e notificazione � PEC
� Rimaterializzazione � Timbro digitale
� Conservazione � RFID e Fascicolo Elettronico
� Console dell’avvocato
� Console del magistrato
� SICC – Sistema Informativo del Contenzioso Civile
� http://www.processotelematico.giustizia.it/pdapublic/
2
3
Flusso documentale futuro D.L. 193/2009 (L. 24/2010)� http://www.processotelematico.giustizia.it/pdapublic/resources
/NuoveRegoleTecniche_scheda_illustrativa_v2.1.pdf
PEC
FIRMA+XML
Firma digitale
3
5
Firme elettroniche: due aspetti che convivono
� la definizione tecnologica:
� insieme di tecniche crittografiche che
garantiscono il rispetto di alcune caratteristiche:
� l’autenticazione del mittente
� l’integrità del messaggio
� la riservatezza
� la definizione giuridica:
� D.lgs. 7 marzo 2005, n. 82
6
Firme elettroniche: origine
� Le firme digitali o digital signature hanno origine dal punto di vista tecnologico negli anni 70’, nel 1976 due
americani Whitfield Diffie e Martin Hellman scoprono un
meccanismo per produrre due password diverse ma
complementare senza scambio di dati significativi
� Servono per:
� crittografare messaggi,
� autenticare i server buoni da quelli cattivi,
� per verificare l’integrità dei pacchetti spediti nella rete
� Sono un prodotto della crittografia
4
7
Obbiettivo della Crittografia
� L’obiettivo della crittografia è quello di mascherare il testo
originario di un messaggio attraverso regole di traduzione
di cui sono a conoscenza solo il mittente e il destinatario
� Il metodo consente di tenere sotto controllo
� l’integrità del dato
� l’identità del mittente
� la riservatezza del contenuto
� Non risolve altri problemi quali la falsificazione, la
sostituzione di persona, la sicurezza del canale di
trasmissione
8
La crittografia moderna basata sulla chiave
� Il meccanismo di crittografia trasforma il testo originale in un testo
cifrato non facilmente leggibile
� L’oggetto della trasformazione viene detto testo in chiaro (plain-text o
cleartext), l’oggetto risultato della trasformazione viene detto testo
cifrato (chipertext)
� Il processo di trasformazione avviene mediante un algoritmo di
cifratura, un algoritmo di decifratura, delle chiavi segrete che
contribuiscono alla trasformazione del testo
Testo
in chiaro
Algoritmo
di cifratura
Algoritmo
di decifratura
Testo
in chiaro
Testo
cifratoSoggetto A Soggetto BKA KB
Chiave del soggetto A Chiave del soggetto B
Testo
cifrato
5
9
Chiave simmetrica e asimmetrica
� Chiave simmetrica - i sistemi a chiave simmetrica usano la
stessa chiave sia per la cifratura sia per la decifratura
� Chiave asimmetrica - i sistemi a chiave asimmetrica usano
due chiavi diverse : una per la cifratura e una per la
decifratura
� le chiavi sono
� indipendenti
� complementari
� costruite con un algoritmo one-way ossia conoscendo
una chiave è estremamente difficile poter risalire all’altra
10
Sistemi a chiave pubblicaPublic Key Infrastructure - PKI
� Nei sistemi a chiave pubblica si usa una coppia di chiavi:
una pubblica nota sia al mittente che al ricevente - in realtà
nota al mondo intero - e una chiave privata per ogni
soggetto (mittente e ricevente)
� In definitiva si avranno due coppie di chiavi:
� una pubblica per il mittente
� una pubblica per il ricevente
� una privata per il mittente
� una privata per il ricevente
6
11
La riservatezza: la cifratura
� Il mittente (A) usa la chiave pubblica del ricevente (B),
prelevandola da un posto comune e la usa per cifrare il
messaggio
� Il ricevente (B) decifra il messaggio con la sua chiave
privata e un algoritmo apposito di decifratura
� Solo B ha la chiave privata per decifrare
il messaggio inviato
� RSA - è l’algoritmo standard usato per i sistemi
a chiave pubblica
12
L’autenticazione: la firma
� Il mittente A usa la sua chiave privata per firmare il
messaggio prima dell’invio e garantisce così l’autenticità
del mittente
� Il messaggio firmato con la chiave del mittente raggiunge
il destinatario il quale preleva la chiave pubblica del
mittente e decodifica il messaggio
� Questo metodo garantisce l’autenticazione del messaggio
poiché se la chiave pubblica di A risolve la cifratura allora
solo A poteva aver spedito il messaggio usando la sua
chiave privata
7
13
L’integrità: la funzione di hash
� Per garantire l’integrità del messaggio si usa una funzione
matematica di hash che costruisce un riassunto del messaggio
stesso detto digest
� Il digest è una stringa di lunghezza fissa calcolata
sul contenuto del messaggio – impronta del documento
� Due messaggi diversi danno origine a due impronte diverse
� Due messaggi uguali forniscono la stessa impronta
� Due messaggi diversi possono, in via ipotetica, dare origine a due
impronte uguali ma la probabilità che accada è talmente piccola da
definire tali funzioni collision free
� Dal digest non è possibile risalire al documento - one-way function
� Funzioni di hash ammesse delle regole tecniche sono:
SHA-1, RIPEMD-160
14
Meccanismo di integrità
� Il digest viaggia insieme al messaggio cifrato
� quando giunge a destinazione il messaggio cifrato viene
sottoposto alla funzione hash
� il digest originale viene confrontato con il digest generato
localmente mediante il messaggio ricevuto
� Se i due digest sono uguali allora il messaggio ha
viaggiato integro e non è stato alterato
8
15
Schema di firma
Testo in chiaro
+Funzione di hash = digest
A
B
2. Spedizione a B
1. Creazione del digest
+Chiave privata di A =
Digestfirmato
2. Apposizione della firma
certificato
busta (formato standard PKCS#7)
16
Schema di firma (ii)
BDB
Testo in chiaro
=Chiave pubblica di A+
Digest
2. Operazione di verificadella firma
Digestcifrato
Funzione di hash+ =
Digest
3. Preleva la chiave pubblica di A
4. Ricalcolo del Digest
autenticazione
integrità
certificato
9
17
B
Testo cifrato
Esempio di firma digitale completa
Testo in chiaro
+Funzione di hash = digest
A
2. Spedizione a B
1. Creazione del digest cifrato
+Chiave privata di A =
+
Chiave pubblica di B =
Digestfirmato
certificato
18
Esempio di firma digitale completa (ii)
DB
certificatore
Testo cifrato
=Chiave pubblica di A+
Digest
3. Operazione di decifratura
Digestfirmato
+ =Testo
in chiaro
Chiave privatadi B
+ =
DigestFunz. dihash
B
certificato
P7M
10
19
Il dispositivo sicuro: es. smart card
� Smart card o USB Key
� sono memorizzate:
� chiave pubblica
� chiave privata
� certificato
� il PIN (Personal Identification
Number) attiva la smart card
� il PUK - blocca la smart card
� Nel chip vengono effettuati tutti i
calcoli di cifratura che utilizzano la
chiave privata
• Le informazioni relative alla chiave privata non escono dal chip
• Altre informazioni possono essere memorizzate sulla banda ottica
20
Firma elettronica
Firma elettronica avanzata
Firme elettroniche in Italia secondo la normativa del CAD
� Firme elettroniche
� firme elettronica
� firma avanzata
� firme elettronica qualificata
� firma digitale
Firma elettr. qualificata
Firma digitale
firma digitale
password
token
biometria
11
21
Definizioni: CAD, art. 1, comma 1 così come modificato dal d.lgs 30 dicembre 2010, n. 235,
p) documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
p-bis) documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti;
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
22
Definizioni: CAD, art. 1, comma 1 così come modificato dal d.lgs 30 dicembre 2010, n. 235,
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
12
23
Definizioni: CAD, art. 1, comma 1 così come modificato dal d.lgs 30 dicembre 2010, n. 235,
s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
24
Elementi della firma digitale
� Segretezza o Riservatezza - solo A e B devono poter
capire il contenuto della trasmissione
� Autenticazione - sicurezza dell’identità degli
interlocutori
� Integrità - occorre garantire che il dato arrivi a
destinazione integro senza variazioni, nello stesso
stato in cui è partito
� Non-ripudio - il mittente di un messaggio è messo
nella condizione di non poter ripudiare il messaggio
inoltrato – si può provare a posteriori che è avvenuto
un processo di firma� mediante il ruolo del
certificatore
13
25
Certificatore: CAD art. 1, comma 1
� e) certificati elettronici: gli attestati elettronici che collegano all'identità del titolare i dati utilizzati per verificare le firme elettroniche;
� f) certificato qualificato: il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva;
� g) certificatore: il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime;
Certificati
14
27
Tipi di certificati secondo la loro funzione
� certificati possono essere di quattro tipi:
� di sottoscrizione - usati per la firma dei documenti
� di autenticazione - per essere riconosciuti su web o
per sottoscrivere la posta elettronica, non garantisce il
NON RIPUDIO e la rilevanza verso terzi
� di crittografia - utilizzati per la crittografia dei documenti
riservati
� di attributo - per associare a chi firma un particolare
ruolo ovvero un mandato (notai, commercialisti, etc.)
28
L’uso del meccanismo della digital signature
� chiavi di sottoscrizione: destinate alla generazione e verifica
delle firme apposte o associate ai documenti - utilizzate dal titolare privato per firmare i suoi documenti
� chiavi di certificazione: destinate alla generazione e verifica delle firme apposte ai certificati, alle liste di revoca e a quelle di sospensione - quindi utilizzate dall'ente certificatore
� chiavi di marcatura temporale: destinate alla generazione e verifiche delle marche temporali - utilizzate dall'ente certificatore che svolge il servizio di marcatura temporale
� non è corretto l’uso della firma digitale per l’autenticazione
- a questo proposito esistono altri strumenti quali la CIE
(Carta d’Identità Elettronica) e la CNS (Carta Nazionale dei
Servizi)
15
29
Marca temporale
� Marca Temporale: sequenza di simboli binari che elaborata
da una procedura informatica consente la validazione del
tempo ossia che consente di attribuire ai documenti informatici
un riferimento temporale opponibile ai terzi.
� Consente di stabilizzare la firma digitale nel tempo
indipendentemente dallo scadere del certificato del firmatario
� In pratica “blocca” la validità della firma digitale nel tempo in
cui è stata apposta la marca temporale
� La marca temporale viene apposta dal certificatore con un
meccanismo di firme digitali
� Di regola vale 5 anni a meno di altri accordi con il certificatore
30
Le fasi della Marca temporale
Le fasi per la gestione della marca temporale sono:
1. il mittente invia dell'impronta del documento al gestore della marcatura temporale (CA)
2. la CA aggiunge il time stamping (data e ora)
utilizzando UTC (Tempo Universale Coordinato) e
creando l’impronta marcata
3. la CA firma con la sua chiave privata l'impronta
marcata ottenendo la marca temporale da cui è
possibile recuperare l'informazione del time stamping
attraverso l'utilizzo della chiave pubblica del servizio
di marcatura
4. la CA invia la marca temporale al destinatario (o al
mittente)
16
Posta elettronica certificata
32
Perché la PEC
� L’e-mail tradizionale non garantisce:
� Il riconoscimento certo del mittente di posta
� La consegna e il tempo di consegna
� L’integrità del messaggio
� Il non ripudio
� Sicurezza nel transito
� Regole certe sui log file
17
33
PEC – CECPAC - PECPCT
� Legge 2./2009
� PEC
� imprese, professionisti, pubbliche amministrazioni
� CecPac
� DPCM 6 maggio 2009 “Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini”
� si è implicitamente eletto un nuovo domicilio fiscale, quello della CecPAc
� PECPCT
� Erogata dai Punti di Accesso esclusivamente per le trasmissioni digitali all’interno del PCT
� L’art. 170 c.p.c.
34
PEC
� Il punto di accesso
� Il punto di ricezione
� Il punto di consegna
SMTP-SSMTP-S
SMTP-S
POP-S
POP-S
Gestore di APunto di accesso
Client di A
Client di B
Firma privata+certificato
+time stamping
Verifica firma+certificato
+time stamping
Gestore di B
Punto di ricezione
Punto di consegna
Punto di consegna
Ricevuta di accettazione Ricevuta
di avvenuta consegna
18
35
Definizione
� Questa modalità equivale alla notificazione per
mezzo della posta nei casi consentiti dalla legge
(art. 48 D.lgs. 82/2005)
� DPR 11 febbraio 2005, n. 68 – Regolamento
� DPCM 2 novembre 2005 – Regole tecniche
36
CAD, Art. 48
� 48. Posta elettronica certificata.� 1. La trasmissione telematica di comunicazioni che
necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA.
� 2. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta.
� 3. La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto del Presidente del Consiglio dei Ministri di cui al comma 1.
19
37
Perché si usa la posta certificata
� garantire gli standard tecnici SMTP/MIME
� certificare l’avvenuta spedizione
� accertare l’indirizzo elettronico della spedizione
� garantire eventuali ricevute di ritorno a conferma della spedizione e della ricezione
� accertare il riferimento temporale - data e ora di trasmissione
38
Attori e compiti
� mittente
� destinatario
� gestore PEC - ente pubblico o privato che eroga il servizio di posta certificata
� Il gestore gestisce i punti di accesso, ricezione, consegna – possono esserci gestori diversi
20
39
Cosa si invia
� L’oggetto dell’invio fra mittente e destinatario è composto
da:
� messaggio MIME in formato text/plain o in formato HTML
ma senza parti attive, multimediali, macro
� dati di certificazione in chiaro e in XML
� busta del gestore di PEC
� I dati di certificazione sono inseriti in un file XML per
garantire l’interoperabilità fra sistemi
� Tutte le ricevute inviate fra i gestori sono sottoscritte
con la firma elettronica del gestore di PEC per
permettere l’autenticazione, l’integrità e il non ripudio
40
Riepilogo gestore mittente
� Il gestore del mittente invia:
� Avviso di non accettazione in caso in cui non siano rispettate le regole compositive
� Avviso di non accettazione per virus informatico
� Ricevuta di accettazione in caso positivo
� Avviso di mancata consegna per virus informatico
� Avviso di mancata consegna per superamento tempi massimi – se entro 12 ore dall’invio il gestore mittente non riceve la ricevuta di presa in incarico da parte del gestore destinatario allora inoltra un avviso di mancata consegna
21
41
Riepilogo gestore destinatario
� Il gestore del destinatario invia:
� Ricevuta di presa in incarico
� Avviso di rilevazione virus informatico
� Avviso di mancata consegna
� Ricevuta completa di consegna- originali + allegati
� Ricevuta di consegna breve – originali + hash(allegati)
� Ricevuta di consegna sintetica – no originali
42
Esempio pratico
22
RFID e Timbro digitale
44
RFID
� RFID o Radio Frequency IDentification
(Identificazione a radio frequenza) è un sistema ad
onde radio che permette l’identificazione automatica
di cose o persone.
Il sistema si fonda su un lettore e un tag, il quale
quando entra nel raggio d’azione del lettore, invia al
sistema le informazioni richiestegli.
23
45
Timbro digitale
� Serve per rendere valido il documento informatico
digitale nel momento della materializzazione su
carta �
documento informatico verso documento analogico
46
Modifiche al CAD – Timbro art. 23-ter
� 5. Al fine di assicurarne la provenienza e la conformità all’originale, sulle copie analogiche dei documenti informatici, è apposto a stampa, sulla base dei criteri definiti con linee guida emanate da DigitPA, un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71 e tale da consentire la verifica automatica della conformità del documento analogico a quello informatico.
24
47
Meccanismo
� Il timbro digitale solitamente contiene il documento
informatico e l’hash del contenuto della pagina firmato.
� Il tutto è rappresentato in un formato tecnologico in un timbro
bidimensionale
� Il timbro se scannerizzato viene acquisito digitalmente,
spacchettata la busta p7m, verificata la firma (formato
PKCS#7) ed estratte tutte le informazioni relativamente al
documento informatico o al suo hash
� Si permettere così di effettuare poi un controllo di conformità
con il documento cartaceo
48
Certificato anagrafico Ravenna
Ex art. 15 quinquies della legge 38
del 1990 che consente la
produzione di certificati con sistemi
automatizzati e a distanza..
I certificati sono validi ad ogni
effetto di legge se l'originalità è
garantita da sistemi che non
consentano la fotoriproduzione per
copie identiche come l'utilizzo di
carta filigranata o timbri a secco.
Documento informatico firmato
digitalmente
25
49
G.U. Flow – Il processo di dematerializzazionedella Gazzetta Italiana
Si veda la presentazione in: http://www.legalaccess.eu/IMG/pdf/presentazione_eng_1_.pdf
e si legga:
http://ig.unipv.it/timbrodigitale.pdf